11.07
In Computer Science ,Hacker ,Internet ,KI-Generierter Inhalt ,Networking | Tags:
Das hier ist ein vollständig KI generierter Artikel.
Die Ransomware-Gruppe «The Gentlemen» ist innert kurzer Zeit zu einem der aktivsten Erpresser-Kollektive weltweit aufgestiegen. Ein aggressives «Ransomware-as-a-Service»-Modell, hohe Gewinnbeteiligungen für Affiliates und gezielte Angriffe auf exponierte Systeme machen sie für Unternehmen besonders gefährlich. Gleichzeitig zeigt der Fall des mutmasslichen Administrators «Hastalamuerte», wie klassische OPSEC-Fehler auch gut vernetzte Cyberkriminelle enttarnen können.

Ransomware-as-a-Service mit Turbo-Wachstum
«The Gentlemen» setzen auf ein Ransomware-as-a-Service-Modell (RaaS): Die eigentliche Malware und Infrastruktur werden zentral bereitgestellt, während Affiliates für die Kompromittierung von Opfern sorgen. Im Gegenzug erhalten sie laut Analysen von Sicherheitsfirmen bis zu 90 Prozent der erpressten Lösegelder – deutlich mehr als die branchenüblichen 80/20-Modelle.
Diese Konditionen wirken wie ein Magnet auf erfahrene Operatoren, die von anderen Programmen abwandern. Seit Mitte 2025 soll die Gruppe hunderte Opfer verzeichnet haben und gehört damit nach veröffentlichten Opferzahlen zu den aktivsten Ransomware-Akteuren. Technisch setzen die Angreifer vor allem auf Internet-exponierte Systeme wie VPN-Gateways und Firewalls als Einstiegspunkt. Gelingt der Erstzugriff, wird das Netzwerk innerhalb weniger Stunden auskundschaftet und verschlüsselt.
Der Administrator im Hintergrund
Im Zentrum des Programms steht ein Administrator, der unter den Pseudonymen «Zeta88» und «Hastalamuerte» auf einschlägigen Foren auftritt. Aus Leaks der Backend-Infrastruktur geht hervor, dass diese Person den Ransomware-Locker und das RaaS-Panel zusammenstellt, die Zahlungsabwicklung koordiniert und die zentrale Verwaltung des Programms übernimmt. Rund zehn Prozent aller Lösegelder sollen an diese Stelle fliessen.
Cyber-Intelligence-Dienste zeichnen ein Bild eines Akteurs, der seit mehreren Jahren in russisch- und englischsprachigen Untergrundforen aktiv ist. Registrierungen auf verschiedenen Plattformen, wiederkehrende Alias-Namen, E-Mail-Adressen und Messaging-Handles ergeben ein konsistentes Muster. Besonders frühe Aktivitäten aus den Jahren 2019 und 2020 zeigen einen eher unerfahrenen Nutzer, der sich schrittweise in die Szene einarbeitet und an Trainingsprogrammen für Penetrationstests teilnimmt.
OPSEC-Fehler als Schwachstelle
Die Rekonstruktion der Spuren rund um «Hastalamuerte» illustriert, wie kleine Nachlässigkeiten in der Operational Security (OPSEC) über Jahre hinweg kumulieren. Wiederverwendete E-Mail-Adressen, identische oder nur leicht abgewandelte Nicknames, verknüpfte Telegram-IDs und Registrierungen auf Mainstream-Plattformen bilden eine Kette, die sich mit OSINT-Werkzeugen nachvollziehen lässt.
Solche Muster sind nicht auf einzelne Personen beschränkt. Viele Cyberkriminelle beginnen mit relativ harmlosen Aktivitäten, unterschätzen aber, wie dauerhaft und verknüpfbar digitale Spuren sind. Mit wachsender Professionalisierung und steigenden Erträgen werden diese frühen Fehler zum Risiko – insbesondere, wenn kompromittierte Datenbanken, Foren-Leaks und spezialisierte Analyse-Dienste ins Spiel kommen.
Warum viele Täter ihre Identität nur unzureichend schützen
Im russischsprachigen Cybercrime-Umfeld spielt zudem der geopolitische Kontext eine Rolle. Solange Angriffe nicht gegen Ziele im eigenen Land gerichtet sind, werden Aktivitäten oft toleriert oder ignoriert. Das reduziert den unmittelbaren Druck, die eigene Identität lückenlos zu verschleiern. Wer davon ausgeht, das eigene Land nicht zu verlassen und sich an inoffizielle «Spielregeln» hält, investiert häufig weniger in OPSEC als Akteure, die mit internationaler Strafverfolgung rechnen.
Hinzu kommt ein psychologischer Faktor: Zu Beginn der «Karriere» scheint das Risiko gering, die Summen sind klein, und viele sehen sich eher als Lernende oder «Pentester ohne Auftrag». Erst wenn die Aktivitäten in Richtung professioneller Ransomware-Operationen kippen, wird klar, dass frühere Bequemlichkeit bei der Identitätstrennung kaum noch zu korrigieren ist.
Lehren für Unternehmen und Verteidiger
Für Unternehmen ist weniger entscheidend, ob einzelne Akteure namentlich identifiziert werden, sondern welche strukturellen Erkenntnisse sich daraus ableiten lassen. Der Fall «The Gentlemen» unterstreicht mehrere Punkte:
- RaaS senkt die Einstiegshürden: Professionelle Infrastruktur und hohe Gewinnbeteiligungen machen es auch mittelmässig talentierten Angreifern leicht, wirksam zu werden.
- Exponierte Systeme bleiben Hauptangriffsvektor: VPNs, Firewalls und andere Internet-facing Dienste müssen gehärtet, aktuell gehalten und eng überwacht werden.
- Geschwindigkeit der Angreifer nimmt zu: Vom Erstzugriff bis zur Verschlüsselung vergehen oft nur wenige Stunden – Detection- und Response-Prozesse müssen entsprechend schnell sein.
- Intelligence ist ein Baustein der Verteidigung: Die Auswertung von Foren-Leaks, Infrastruktur-Informationen und Alias-Ketten hilft, Kampagnen frühzeitig zu erkennen und TTPs zuzuordnen.
Fazit
«The Gentlemen» stehen exemplarisch für eine neue Generation hochgradig kommerzialisierter Ransomware-Programme, die mit attraktiven Beteiligungsmodellen und standardisierter Infrastruktur rasch wachsen. Gleichzeitig zeigt der Fall des mutmasslichen Administrators, dass selbst erfahrene Akteure an ihren eigenen digitalen Spuren scheitern können. Für Verteidiger bedeutet das: Ransomware bleibt eine der grössten Bedrohungen für Unternehmen, doch jede zusätzliche Transparenz über Strukturen, Ökosysteme und Fehler der Angreifer stärkt die eigene Position – vorausgesetzt, grundlegende Sicherheitsmassnahmen und schnelle Reaktionsprozesse sind etabliert.
Quelle: https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/


Und...wetsch das Cookie ha öder nöd ?
And...do you want the cookie or not ?
Comments are closed.